Come installare il GPS su auto e furgoni aziendali senza violare la privacy. Scopri cosa prevede la normativa tra GDPR e Statuto dei Lavoratori.
L'installazione di sistemi di localizzazione su auto e furgoni aziendali è una scelta strategica per ottimizzare la logistica, e garantire la sicurezza degli asset.
Tuttavia, l'uso del GPS solleva delicate questioni di conformità che molte imprese sottovalutano: se non gestita correttamente, questa tecnologia può trasformarsi in una violazione della privacy dei dipendenti.
Il monitoraggio dei mezzi deve infatti rispettare un equilibrio rigoroso tra le esigenze organizzative dell'azienda e i diritti stabiliti dal GDPR, e dallo Statuto dei Lavoratori.
Ignorare questi limiti comporta rischi concreti, come dimostrato dalle recenti e onerose sanzioni comminate dal Garante a diverse società del settore, per monitoraggio illecito.
In questo articolo esaminiamo cosa prevede la normativa, quali comunicazioni sono obbligatorie, e come evitare sanzioni.
L’Articolo 4 dello Statuto dei Lavoratori rappresenta il pilastro normativo per la geolocalizzazione dei mezzi.
La norma stabilisce che i sistemi da cui derivi la possibilità di controllo a distanza dei dipendenti possono essere impiegati esclusivamente per esigenze organizzative e produttive, sicurezza del lavoro o tutela del patrimonio aziendale.
L'attivazione di questi strumenti richiede preventivamente un accordo sindacale o l'autorizzazione dell'Ispettorato del Lavoro. Quando la posizione del veicolo è associata a un lavoratore, l'informazione diventa un dato personale, rendendo obbligatoria l'applicazione del GDPR.
Secondo i principali provvedimenti del Garante della Privacy - n. 370/2011 e n. 232/2018 - l'azienda deve garantire massima trasparenza e rispettare i principi di minimizzazione e proporzionalità.
In particolare:
La normativa traccia quindi una distinzione netta tra monitoraggio occasionale, finalizzato a scopi legittimi, e monitoraggio continuo (24/7). Quest'ultimo è considerato tendenzialmente illecito, poiché un controllo costante eccede il potere di supervisione del datore di lavoro e viola il diritto alla riservatezza del dipendente.
Prima di attivare il sistema, l'azienda deve fornire un'informativa chiara e completa - ex art. 13 GDPR - che identifichi il Titolare del trattamento, le finalità perseguite, i tempi di conservazione e i diritti del dipendente, come l'accesso e la cancellazione.
Questo documento, indispensabile per non rendere illegittimo l'uso dei dati raccolti, deve specificare nel dettaglio la natura dei dati, le caratteristiche tecniche del dispositivo e le modalità di rilevazione - se continuativa o occasionale - indicando chiaramente quali responsabili del trattamento avranno accesso alle informazioni.
I sistemi GPS devono essere configurati seguendo i principi del Privacy by Design: il software deve essere impostato per raccogliere il minor numero di dati possibile fin dalla sua progettazione, limitando ad esempio la frequenza degli intervalli di rilevazione.
La conservazione deve essere limitata nel tempo. Per finalità logistiche, il Garante suggerisce tempi brevi, anche solo 24-48 ore.
Se i dati servono per la tenuta del LUL - Libro Unico del Lavoro - possono essere conservati fino a 5 anni, ma solo per le informazioni relative a presenze e orari.
Conservazioni indiscriminate, come ad esempio 180 giorni per finalità generiche, sono ritenute non conformi.
Le società che forniscono i servizi di geolocalizzazione agiscono per conto del datore di lavoro, e devono essere nominate Responsabili del Trattamento - Art. 28 GDPR.
Il titolare deve impartire istruzioni precise su come i dati devono essere gestiti e protetti.
Poiché il GPS rientra nei controlli a distanza, la sua installazione è subordinata a un accordo preventivo con le rappresentanze sindacali unitarie o aziendali.
Questo accordo collettivo è la via principale per legittimare il monitoraggio dei mezzi quando risponde a reali esigenze organizzative, produttive, di sicurezza o di tutela dei beni aziendali.
Se in azienda non sono presenti rappresentanti sindacali, o se le parti non riescono a raggiungere un accordo, l'impresa deve ottenere l'autorizzazione amministrativa.
L’istanza deve motivare nel dettaglio le ragioni tecniche e produttive che giustificano il controllo.
Installare fisicamente i dispositivi prima di aver ottenuto il provvedimento autorizzativo espone l'azienda alle pesanti sanzioni penali e amministrative, previste dall'articolo 38 dello Statuto dei Lavoratori.
Le sanzioni per il monitoraggio illecito tramite GPS hanno raggiunto cifre considerevoli.
Il Garante ha recentemente inflitto multe fino a 120.000 euro ad aziende che tracciavano non solo la posizione, ma anche lo stile di guida, i consumi e la velocità dei dipendenti per periodi eccessivi, in alcuni casi superando i sei mesi di conservazione senza alcuna giustificazione valida.
Casi analoghi, sanzionati con multe fino a 50.000 euro, hanno riguardato società di autotrasporti che monitoravano i conducenti in modo continuativo e senza aver ottenuto le necessarie autorizzazioni sindacali o dell'Ispettorato, configurando una violazione grave sia del GDPR che dello Statuto dei Lavoratori.
Oltre alle pesanti multe amministrative e alle sanzioni penali previste dall'articolo 38 dello Statuto, le aziende rischiano l'inutilizzabilità dei dati raccolti: qualsiasi prova ottenuta tramite un controllo occulto, o un monitoraggio 24/7, non può essere usata per licenziamenti o provvedimenti disciplinari.
Per operare in sicurezza, è quindi indispensabile seguire un protocollo di conformità che preveda l'accordo sindacale preventivo, un'informativa trasparente ai conducenti, l'applicazione della vetrofania obbligatoria sui mezzi, e la nomina del fornitore GPS come Responsabile del Trattamento, garantendo sempre tempi di conservazione dei dati ridotti al minimo.
Come abbiamo visto, la geolocalizzazione di auto e furgoni aziendali è uno strumento legittimo, ma solo se inserito in un quadro di piena trasparenza e legalità.
Le sanzioni crescenti dimostrano che l'approccio "fai da te" non è più percorribile. Verificare preventivamente la conformità ai principi del GDPR e dello Statuto dei Lavoratori è l'unico modo per tutelare il patrimonio aziendale senza calpestare i diritti dei dipendenti.
Verifica subito se la tua attività è soggetta agli obblighi privacy, quali sono i provvedimenti da adottare e qual è il Piano Privacy giusto per te.
Ti garantiamo la nostra assistenza specialistica per tutti gli aspetti relativi al nostro servizio e agli adempimenti Privacy.
Uno dei nostri esperti è a tua disposizione e ti risponderà gratuitamente.